• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-网络管理与监控命令参考

01-NTP命令

本章节下载 01-NTP命令  (291.21 KB)

01-NTP命令


1 NTP

1.1  NTP配置命令

支持NTP的接口均为三层接口,包括三层以太网接口、三层聚合接口。

1.1.1  display ntp-service sessions

display ntp-service sessions命令用来显示NTP服务的所有IPv4会话信息。

【命令】

display ntp-service sessions [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

verbose:显示NTP服务的所有IPv4会话的详细信息。如果不指定该参数,则只显示所有会话的简要信息。

【使用指导】

设备作为NTP广播服务器时,在设备上执行display ntp-service sessions命令不会显示与该广播服务器对应的NTP服务的IPv4会话信息,但是这些会话会统计在总的会话数中。

【举例】

# 显示NTP服务的所有IPv4会话的简要信息。

<Sysname> display ntp-service sessions

       source          reference       stra reach poll  now offset  delay disper

********************************************************************************

[12345]LOCAL(0)        LOCL               0     1   64    - 0.0000 0.0000 7937.9

    [5]0.0.0.0         INIT              16     0   64    - 0.0000 0.0000 0.0000

Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.

 Total sessions: 1

表1-1 display ntp-service sessions命令显示信息描述表

字段

描述

source

参考时钟为本地时钟时,显示为LOCAL(number),表示本地时钟的地址为127.127.1.number,其中number为NTP的进程号,取值范围为0~3

参考时钟为网络中其他设备的时钟时,显示为时间服务器的IP地址。若该字段显示为0.0.0.0,表示时间服务器的IP地址尚未解析成功

reference

时间服务器的参考时钟ID

当参考时钟为本地时钟时,本字段的显示情况和stra字段的取值有关:

·         当stra字段为0或1时,本字段将显示为LOCL

·         当stra字段为其他值时,本字段将显示为本地时钟的IP地址

当参考时钟为网络中其他设备的时钟时,本字段显示为该设备的IP地址。若该字段显示为INIT,表示本地设备还未与时间服务器建立连接

stra

时间服务器的时钟层数

时钟层数决定了时钟的准确度,取值范围为1~16,层数取值越小,表示时钟的准确度最高,层数为16的时钟处于未同步状态

reach

时间服务器的可达性计数,0表示时间服务器不可达

poll

轮询间隔,即两个连续NTP报文之间的时间间隔,单位为秒

now

最近一次接收到NTP报文或更新本地时间到当前时间的时间间隔

缺省单位为秒;如果时间间隔大于2048秒,则显示为分钟m;如果时间间隔大于300分钟,则显示为小时h;如果时间间隔大于96小时,则显示为天d;如果时间间隔大于999天,则显示为年y;如果最近一次接收到NTP报文或更新本地时间比当前时间晚,则显示为“-”

offset

系统时钟相对于参考时钟的时钟偏移,单位为毫秒

delay

本地设备到时间服务器的往返时延,单位为毫秒

disper

系统时钟相对于参考时钟的最大误差,单位为毫秒

[12345]

1:系统选中的时间服务器,即当前与设备进行时间同步的时间服务器

2:该时间服务器的时钟层数小于等于15

3:该时间服务器的时钟已通过时钟选择算法

4:该时间服务器的时钟为候选时钟

5:该时间服务器的时钟是配置命令指定的

Total sessions

总的会话数目

 

# 显示NTP服务的所有IPv4会话的详细信息。

<Sysname> display ntp-service sessions verbose

 Clock source: 192.168.1.40

 Session ID: 35888

 Clock stratum: 2

 Clock status:  configured, master, sane, valid

 Reference clock ID: 127.127.1.0

 Local mode: client, local poll interval: 6

 Peer mode: server, peer poll interval: 6

 Offset: 0.2862ms, roundtrip delay: 3.2653ms, dispersion: 4.5166ms

 Root roundtrip delay: 0.0000ms, root dispersion: 10.910ms

 Reachabilities:31, sync distance: 0.0194

 Precision: 2^10, version: 3, source interface: Not specified

 Reftime: d17cbba5.1473de1e  Tue, May 17 2011  9:17:25.079

 Orgtime: 00000000.00000000  Thu, Feb  7 2036  6:28:16.000

 Rcvtime: d17cbbc0.b1959a30  Tue, May 17 2011  9:17:52.693

 Xmttime: d17cbbc0.b1959a30  Tue, May 17 2011  9:17:52.693

 Roundtrip delay samples: 0.007 0.010 0.006 0.011 0.010 0.005 0.007 0.003

 Offset samples: 5629.55 3913.76 5247.27 6526.92 31.99 148.72 38.27 0.29

 Filter order: 7     5     2     6     0     4     1     3

 

 Total sessions: 1

表1-2 display ntp-service sessions verbose命令显示信息描述表

字段

描述

Clock source

时间服务器的IP地址。若该字段显示为0.0.0.0,表示时间服务器的IP地址尚未解析成功

Session ID

会话ID

Clock stratum

时间服务器的时钟层数

时钟层数决定了时钟的准确度,取值范围为1~16,层数取值越小,表示时钟的准确度越高,层数为16的时钟处于未同步状态

Clock status

会话的状态,该字段的取值及含义为:

·         configured:表示该会话是配置命令所建立的

·         dynamic:表示该会话是动态生成的

·         master:表示该会话对应的时间服务器是当前系统的主时间服务器

·         selected:表示该会话对应时间服务器的时钟已通过时钟选择算法

·         candidate:表示该会话对应时间服务器的时钟为候选时钟

·         sane:表示该会话对应的时间服务器通过身份验证,该时间服务器的时钟将作为参考时钟

·         insane:表示该会话对应的时间服务器未通过身份验证,或该时间服务器通过身份验证但其时钟不作为参考时钟

·         valid:表示该会话对应的时间服务器是有效的(通过验证、处于同步状态、层数有效、根延时/离差未越界等)

·         invalid:表示该会话对应的时间服务器是无效的

·         unsynced:表示该会话对应时间服务器的时钟未同步或层数非法

Reference clock ID

时间服务器的参考时钟ID

当参考时钟为本地时钟时,本字段的显示情况和Clock stratum字段的取值有关:

·         当Clock stratum字段取值为0或1时,本字段将显示为LOCL;

·         当Clock stratum字段取值为其他值时,本字段将显示为本地时钟的IP地址

当参考时钟为网络中其他设备的时钟时,本字段显示为该设备的IP地址。若该字段显示为INIT,表示本地设备还未与时间服务器建立连接

Local mode

本地设备的工作模式,取值包括:

·         unspec:未指定模式

·         sym_active:主动对等体模式

·         sym_passive:被动对等体模式

·         client:客户端模式

·         server:服务器模式

·         broadcast:广播服务器模式

·         bclient:广播客户端模式

local poll interval

本地设备的轮询间隔,显示的是2的次幂数,单位为秒,比如6表示轮询间隔为2的6次幂,即64s

Peer mode

对端设备的工作模式,取值包括:

·         unspec:未指定模式

·         sym_active:主动对等体模式

·         sym_passive:被动对等体模式

·         client:客户端模式

·         server:服务器模式

·         broadcast:广播服务器模式

·         bclient:广播客户端模式

peer poll interval

对端设备的轮询间隔,显示的是2的次幂数,单位为秒,比如6表示轮询间隔为2的6次幂,即64s

Offset

系统时钟相对于参考时钟的时钟偏移,单位为毫秒

roundtrip delay

本地设备到时间服务器的往返时延,单位为毫秒

dispersion

系统时钟相对于参考时钟的最大误差

Root roundtrip delay

本地设备到主时间服务器的往返时延,单位为毫秒

root dispersion

系统时钟相对主参考时钟的最大误差,单位为毫秒

Reachabilities

时间服务器的可达性计数,0表示时间服务器不可达

sync distance

表示相对上一级时间服务器的同步距离,由误差disper和往返时延delay计算而来,单位为秒

Precision

系统时钟的精度

version

NTP版本,取值为1~4

source interface

源接口,未指定源接口时,此字段显示为Not specified

Reftime

NTP报文中的参考时间戳

Orgtime

NTP报文中的起始时间戳

Rcvtime

NTP报文的接收时间戳

Xmttime

NTP报文的发送时间戳

Roundtrip delay samples

本地设备到时间服务器往返时延的抽样值

Offset samples

相对于参考时钟的时钟偏移的抽样值

Filter order

抽样信息排序

Reference clock status

本地时钟的工作状态,只有通过ntp-service refclock-master命令设置本地时钟作为参考时钟时,才会显示该字段

当本地时钟的reach值等于255时,该字段取值为working normally;否则,该字段取值为working abnormally

Total sessions

总的会话数目

 

1.1.2  display ntp-service status

display ntp-service status命令用来显示NTP服务的状态信息。

【命令】

display ntp-service status

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 时间已同步时,显示NTP服务的状态信息。

<Sysname> display ntp-service status

 Clock status: synchronized

 Clock stratum: 2

 System peer: LOCAL(0)

 Local mode: client

 Reference clock ID: 127.127.1.0

 Leap indicator: 00

 NTP version: 4

 Clock jitter: 0.000977 s

 Stability: 0.000 pps

 Clock precision: 2^-23

 Root delay: 0.00000 ms

 Root dispersion: 3.96367 ms

 Reference time: d0c5fc32.92c70b1e  Wed, Dec 29 2010 18:28:02.573

 System poll interval: 256 s

# 时间未同步时,显示NTP服务的状态信息。

<Sysname> display ntp-service status

 Clock status: unsynchronized

 Clock stratum: 16

 Reference clock ID: none

 Clock jitter: 0.000000 s

 Stability: 0.000 pps

 Clock precision: 2^-23

 Root delay: 0.00000 ms

 Root dispersion: 0.00002 ms

 Reference time: d0c5fc32.92c70b1e  Wed, Dec 29 2010 18:28:02.573

 System poll interval: 8 s

表1-3 display ntp-service status命令显示信息描述表

字段

描述

Clock status

系统时间的状态,取值为:

·         synchronized:系统时间已同步

·         unsynchronized:系统时间未同步

Clock stratum

系统时钟的层数

System peer

系统时钟选中的时间服务器的IP地址

Local mode

相对于选中的时间服务器,本地设备的工作模式,取值包括:

·         unspec:未指定模式

·         sym_active:主动对等体模式

·         sym_passive:被动对等体模式

·         client:客户端模式

·         server:服务器模式

·         broadcast:广播服务器模式

·         bclient:广播客户端模式

Reference clock ID

参考时钟ID

本地设备从远程时间服务器获取时间同步时,表示远程服务器的IP地址

本地设备从本地时钟获取时间同步时,表示本地时钟的标识:

·         本地时钟的层数为1时,显示为LOCL

·         本地时钟的层数为其他值时,显示为本地时钟的IP地址

Leap indicator

告警状态,取值包括:

·         00:正常状态

·         01:闰秒标志,表示一天中的最后一分钟有61秒

·         10:闰秒标志,表示一天中的最后一分钟有59秒

·         11:时间未被同步的告警状态

NTP version

选中的时间服务器的NTP版本,取值为1~4,仅在时间已同步时显示

Clock jitter

系统时钟相对于参考时钟的偏移量,单位为秒

Stability

时钟频率的稳定性,取值越小,时钟频率越稳定

Clock precision

系统时钟的精度

Root delay

本地设备到主时间服务器的往返时延,单位为毫秒

Root dispersion

系统时钟相对主参考时钟的最大误差,单位为毫秒

Reference time

参考时间戳

System poll interval

系统轮询时间间隔,单位为秒

 

1.1.3  display ntp-service trace

display ntp-service trace命令用来显示从本地设备回溯到主时间服务器的各个NTP时间服务器的简要信息。

【命令】

display ntp-service trace [ source interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

source interface-type interface-number:指定回溯主时间服务器时发送NTP报文的源接口,interface-type interface-number表示接口类型和接口编号。本地设备向时间服务器发送NTP报文时,报文的源地址为指定源接口的主IPv4地址;如果NTP时间服务器地址是链路本地地址时,报文的源地址为报文出接口的链路本地地址。如果不指定本参数,则以报文发送接口作为回溯主时间服务器时发送NTP报文的源接口。

【使用指导】

指定源接口回溯主时间服务器时,需要保证主时间服务器已及各个NTP时间服务器均和源接口之间路由可达,否则将导致回溯失败。

【举例】

# 显示从本地设备回溯到主时间服务器的各个NTP时间服务器的简要信息。

<Sysname> display ntp-service trace

Server     127.0.0.1

Stratum    3, jitter  0.000, synch distance 0.0000.

Server     3000::32

Stratum    2 , jitter 790.00, synch distance 0.0000.

RefID      127.127.1.0

以上信息显示了服务器127.0.0.1的同步链:服务器127.0.0.1同步到服务器3000::32,服务器3000::32从本地时钟得到同步。

表1-4 display ntp-service trace命令显示信息描述表

字段

描述

Server

时间服务器的IP地址

Stratum

表示相应服务器的时钟层数

jitter

表示相对上一级时钟的时钟偏差的均方根,单位为秒

synch distance

表示相对上一级时间服务器的同步距离,由误差disper和往返时延delay计算而来,单位为秒

RefID

主时间服务器的标识,主参考时钟的层数为0时,显示为LOCL;为其他值时,显示为主参考时钟的IP地址

 

【相关命令】

·           ntp-service source

·           ntp-service unicast-server

·           ntp-service unicast-peer

1.1.4  ntp-service acl

ntp-service acl命令用来设置对端设备对本地设备NTP服务的访问控制权限。

undo ntp-service acl命令用来取消设置的访问控制权限。

【命令】

ntp-service { peer | query | server | synchronization } acl ipv4-acl-number

undo ntp-service { peer | query | server | synchronization } [ acl ipv4-acl-number ]

【缺省情况】

对端设备对本地设备NTP服务的访问控制权限为peer

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

peer:完全访问权限。该权限既允许对端设备向本地设备的时间同步,对本地设备进行控制查询(查询NTP的一些状态,比如告警信息、验证状态、时间服务器信息等),同时本地设备也可以向对端设备的时间同步。

query:仅具有控制查询的权限。该权限只允许对端设备对本地设备的NTP服务进行控制查询,但是不能向本地设备的时间同步。

server:服务器访问与查询权限。该权限允许对端设备向本地设备的时间同步,对本地设备进行控制查询,但本地设备不会向对端设备的时间同步。

synchronization:仅具有访问服务器的权限。该权限只允许对端设备向本地设备的时间同步,但不能进行控制查询。

ipv4-acl-number:通过编号指定引用的ACL(Access Control List,访问控制列表)。通过ACL过滤的对端设备具有本命令中指定的访问控制权限。ipv4-acl-number为IPv4基本或高级ACL的编号,取值范围为2000~2999和3000~3999。

【使用指导】

NTP服务的访问控制权限从高到低依次为peerserversynchronizationquery。当设备接收到一个NTP服务请求时,会按照权限从高到低的顺序依次进行匹配,第一个匹配的权限为此设备具有的访问控制权限。如果没有匹配的权限,则不允许对端设备与本地设备进行时间同步、对本端进行控制查询,也不允许本端设备与对端设备进行时间同步。

当引用的ACL不存在时,任何设备都能访问本地NTP服务。当引用的ACL下没有配置规则时,任何设备都不能访问本地NTP服务。

ntp-service acl命令提供了一种最小限度的安全措施,更安全的方法是进行身份验证。

【举例】

# 配置10.10.0.0/16网段的对端设备对本地设备具有完全访问权限。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 10.10.0.0 0.0.255.255

[Sysname-acl-ipv4-basic-2001] quit

[Sysname] ntp-service peer acl 2001

【相关命令】

·           ntp-service authentication enable

·           ntp-service authentication-keyid

·           ntp-service reliable authentication-keyid

1.1.5  ntp-service authentication enable

ntp-service authentication enable命令用来开启NTP身份验证功能。

undo ntp-service authentication enable命令用来关闭NTP身份验证功能。

【命令】

ntp-service authentication enable

undo ntp-service authentication enable

【缺省情况】

NTP身份验证功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

在一些对安全性要求较高的网络中,运行NTP协议时需要启用NTP身份验证功能。通过客户端和服务器端的身份验证,保证客户端只与通过验证的设备进行时间同步,避免客户端从非法的服务器获得错误的时间同步信息。

开启NTP身份验证功能后,还需要设置身份验证密钥,并将其设置为可信密钥,才能正确地进行身份验证。

【举例】

# 开启NTP身份验证功能。

<Sysname> system-view

[Sysname] ntp-service authentication enable

【相关命令】

·           ntp-service authentication-keyid

·           ntp-service reliable authentication-keyid

1.1.6  ntp-service authentication-keyid

ntp-service authentication-keyid命令用来设置NTP身份验证密钥。

undo ntp-service authentication-keyid命令用来删除指定的NTP身份验证密钥。

【命令】

ntp-service authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number ]

undo ntp-service authentication-keyid keyid

【缺省情况】

未设置NTP身份验证密钥。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keyid:密钥编号,用来标识身份验证密钥,取值范围为1~4294967295。

authentication-mode:表示验证算法。

hmac-sha-1:表示采用HMAC-SHA-1算法进行身份验证。

hmac-sha-256:表示采用HMAC-SHA-256算法进行身份验证。

hmac-sha-384:表示采用HMAC-SHA-384算法进行身份验证。

hmac-sha-512:表示采用HMAC-SHA-512算法进行身份验证。

md5:表示采用MD5算法进行身份验证。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~32个字符的字符串,密文密钥为1~73个字符的字符串。

acl ipv4-acl-number:对对端设备进行ACL过滤。通过ACL过滤的对端设备有权在本端使用该密钥ID进行身份验证。ipv4-acl-number为IPv4基本ACL的编号,取值范围为2000~2999。

【使用指导】

在一些对安全性要求较高的网络中,运行NTP协议时需要启用身份验证功能。通过客户端和服务器端的身份验证,保证客户端只与通过验证的设备进行时间同步,提高了时间同步的安全性。

NTP协议采用哪个密钥对对端进行身份验证由对端报文中携带的密钥ID决定。这会导致如下安全问题:对对端进行身份验证时只关心密钥是否正确而不关心对端是否有权使用该密钥ID。acl参数用于指定有权在本端使用该密钥ID进行身份验证的对端设备。需要注意的是:

·           当本地需要建立或已存在对端的NTP会话时,acl参数才会进一步检查对端是否有权在本端使用该密钥ID。

·           当引用的ACL不存在时,任何设备都能在本端使用该密钥ID进行验证。

·           当引用的ACL下没有配置规则时,任何设备都不能在本端使用该密钥ID进行验证。

客户端和服务器上需要配置相同的密钥ID、验证算法及密钥值,并且保证对端有权在本端使用该密钥ID进行身份验证,否则无法实现时间同步。

配置NTP验证密钥后,还需要通过ntp-service reliable authentication-keyid命令将该密钥设置为可信密钥。如果NTP验证密钥被指定为可信密钥,删除密钥后,该密钥将自动变为不可信密钥,不必再执行undo ntp-service reliable authentication-keyid命令。

五种验证算法的安全性从高到低为:HMAC-SHA-512、HMAC-SHA-384、HMAC-SHA-256、HMAC-SHA-1、MD5。

通过重复执行本命令,可以配置多个NTP身份验证密钥。设备上最多可以配置128个NTP身份验证密钥。

【举例】

# 设置MD5身份验证密钥,密钥ID号为10,密钥为BetterKey,以明文形式输入。

<Sysname> system-view

[Sysname] ntp-service authentication enable

[Sysname] ntp-service authentication-keyid 10 authentication-mode md5 simple BetterKey

【相关命令】

·           ntp-service authentication enable

·           ntp-service reliable authentication-keyid

1.1.7  ntp-service broadcast-client

ntp-service broadcast-client命令用来配置设备工作在NTP广播客户端模式,并使用当前接口接收NTP广播报文。

undo ntp-service broadcast-client命令用来取消NTP广播客户端模式的配置。

【命令】

ntp-service broadcast-client

undo ntp-service broadcast-client

【缺省情况】

未配置NTP工作模式。

【视图】

接口视图

【缺省用户角色】

network-admin

【使用指导】

配置设备工作在NTP广播客户端模式后,设备将在接口上监听NTP广播服务器发送的NTP广播报文,根据接收到的报文实现时间同步。

如果在接口上配置了设备工作在广播客户端模式,则建议不要将该接口加入聚合组。如果要将接口加入聚合组,则建议先取消NTP广播客户端配置。

【举例】

# 配置设备工作在广播客户端模式,在Ten-GigabitEthernet1/0/1接口上接收NTP广播报文。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] ntp-service broadcast-client

【相关命令】

·           ntp-service broadcast-server

1.1.8  ntp-service broadcast-server

ntp-service broadcast-server命令用来配置设备工作在NTP广播服务器模式,并使用当前接口发送NTP广播报文。

undo ntp-service broadcast-server命令用来取消NTP广播服务器模式的配置。

【命令】

ntp-service broadcast-server [ authentication-keyid keyid | version number ] *

undo ntp-service broadcast-server

【缺省情况】

未配置NTP工作模式。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

authentication-keyid keyid:指定向广播客户端发送NTP报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备无法同步开启了身份验证功能的广播客户端。

version number:指定NTP版本号。number取值范围为1~4,缺省值为4。

【使用指导】

配置设备工作在NTP广播服务器模式后,设备将通过该接口周期性地向广播地址255.255.255.255发送NTP报文。

如果在接口上配置了设备工作在广播服务器模式,则建议不要将该接口加入聚合组。如果要将接口加入聚合组,则建议先取消NTP广播服务器配置。

【举例】

# 配置设备工作在广播服务器模式,在Ten-GigabitEthernet1/0/1接口上发送NTP广播报文,用4号密钥进行加密,设置NTP版本号为4。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] ntp-service broadcast-server authentication-keyid 4 version 4

【相关命令】

·           ntp-service broadcast-client

1.1.9  ntp-service dscp

ntp-service dscp命令用来配置NTP报文的DSCP优先级。

undo ntp-service dscp命令用来恢复缺省情况。

【命令】

ntp-service dscp dscp-value

undo ntp-service dscp

【缺省情况】

NTP报文的DSCP优先级为48。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dscp-value:NTP报文的DSCP优先级,取值范围为0~63。

【使用指导】

DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

【举例】

# 配置NTP报文的DSCP优先级为30。

<Sysname> system-view

[Sysname] ntp-service dscp 30

1.1.10  ntp-service enable

ntp-service enable命令用来开启NTP服务。

undo ntp-service enable命令用来关闭NTP服务。

【命令】

ntp-service enable

undo ntp-service enable

【缺省情况】

NTP服务处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 开启NTP服务。

<Sysname> system-view

[Sysname] ntp-service enable

1.1.11  ntp-service inbound enable

ntp-service inbound enable命令用来开启接口接收NTP报文功能。

undo ntp-service inbound enable命令用来关闭接口接收NTP报文功能。

【命令】

ntp-service inbound enable

undo ntp-service inbound enable

【缺省情况】

接口接收NTP报文功能处于开启状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【使用指导】

如果不允许设备为某个接口对应网段内的对端设备提供时间同步,或不允许设备从某个接口对应网段内的对端设备获得时间同步,则可以在该接口上执行undo ntp-service inbound enable命令,使该接口关闭接收NTP报文功能。

【举例】

# 关闭Ten-GigabitEthernet1/0/1接口接收NTP报文功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] undo ntp-service inbound enable

1.1.12  ntp-service max-dynamic-sessions

ntp-service max-dynamic-sessions命令用来配置NTP动态会话的最大数目。

undo ntp-service max-dynamic-sessions命令用来恢复缺省情况。

【命令】

ntp-service max-dynamic-sessions number

undo ntp-service max-dynamic-sessions

【缺省情况】

NTP动态会话的最大数目为100。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

number:NTP动态会话的最大数目,取值范围为0~100。

【使用指导】

同一设备同一时间内存在的会话数目最多为128个,其中包括静态会话数和动态会话数。静态会话是用户手动配置NTP相关命令而建立的会话;动态会话是NTP运行过程中建立的临时会话。

本配置用来限制动态会话的数目,以避免设备上维护过多的动态会话,占用过多的系统资源。

【举例】

# 设置NTP动态会话的最大数目为50个。

<Sysname> system-view

[Sysname] ntp-service max-dynamic-sessions 50

【相关命令】

·           display ntp-service sessions

1.1.13  ntp-service refclock-master

ntp-service refclock-master命令用来设置本地时钟作为参考时钟。

undo ntp-service refclock-master命令用来取消本地时钟作为参考时钟。

【命令】

ntp-service refclock-master [ ip-address ] [ stratum ]

undo ntp-service refclock-master [ ip-address ]

【缺省情况】

设备未采用本地时钟作为参考时钟。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address:本地时钟的IP地址127.127.1.u。u的取值范围为0~3,表示NTP的进程号。如果不指定ip-address,则系统默认值是127.127.1.0。

stratum:本地时钟所处的层数,取值范围为1~15,缺省值为8。时钟的层数定义了时钟的准确度,层数取值越小,时钟的准确度越高。

【使用指导】

实际网络中,通常将从权威时钟(如原子时钟)获得时间同步的NTP服务器的层数设置为1,并将其作为主时间服务器同步网络中其他设备的时钟。网络中的设备与主时间服务器的NTP距离,即NTP同步链上NTP服务器的数目,决定了设备上时钟的层数。

在某些网络中,例如无法与外界通信的孤立网络,网络中的设备无法与权威时钟进行时间同步。此时,可以从该网络中选择一台时钟较为准确的设备,指定该设备与本地时钟进行时间同步,即采用本地时钟作为参考时钟,使得该设备的时钟处于同步状态。该设备作为时间服务器为网络中的其他设备提供时间同步,从而实现整个网络的时间同步。

请谨慎使用本配置,以免导致网络中设备的时间错误。在执行本命令之前,建议先调整本地系统时间。

【举例】

# 设置本地设备时钟作为参考时钟,层数为2。

<Sysname> system-view

[Sysname] ntp-service refclock-master 2

1.1.14  ntp-service reliable authentication-keyid

ntp-service reliable authentication-keyid命令用来指定已创建的密钥是可信的。

undo ntp-service reliable authentication-keyid命令用来取消可信密钥。

【命令】

ntp-service reliable authentication-keyid keyid

undo ntp-service reliable authentication-keyid keyid

【缺省情况】

未指定可信密钥。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keyid:密钥编号,取值范围为1~4294967295。

【使用指导】

开启身份验证功能后,客户端只会与提供可信密钥的服务器进行时间同步;如果服务器提供的密钥不是可信的,那么客户端不会与其同步。

配置本命令前,请确保认证开关已经打开并且配置了密钥,即保证该密钥的存在性后才能设定它是否可信。如果NTP验证密钥被指定为可信密钥,删除密钥后,该密钥将自动变为不可信密钥,不必再执行undo ntp-service reliable authentication-keyid命令。

本命令可以多次配置,最多可以配置128个可信密钥。

【举例】

# 开启NTP身份验证功能,配置编号为37的密钥采用MD5算法进行身份验证,密钥值为BetterKey。

<Sysname> system-view

[Sysname] ntp-service authentication enable

[Sysname] ntp-service authentication-keyid 37 authentication-mode md5 simple BetterKey

# 指定该密钥为可信密钥。

[Sysname] ntp-service reliable authentication-keyid 37

【相关命令】

·           ntp-service authentication enable

·           ntp-service authentication-keyid

1.1.15  ntp-service source

ntp-service source命令用来指定NTP报文的源接口。

undo ntp-service source命令用来恢复缺省情况。

【命令】

ntp-service source interface-type interface-number

undo ntp-service source

【缺省情况】

未指定NTP报文的源接口,设备根据路由表查找报文的出接口,并采用出接口的主IP地址作为NTP报文的源IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface-type interface-number:接口类型及接口编号。

【使用指导】

如果指定了NTP报文的源接口,则设备在主动发送NTP报文时,将报文的源IP地址设置为指定接口的主IP地址,从而保证NTP应答报文的目的地址均为此地址。

设备对接收到的NTP请求报文进行应答时,应答报文的源地址始终为接收到NTP请求报文的目的地址。

如果不想让本地设备上其他接口的IP地址成为应答报文的目的地址,可以使用本命令。

使用本命令指定NTP报文的源接口时,需要注意:

·           当NTP工作在客户端/服务器模式时,如果在命令ntp-service unicast-server 中指定了NTP报文的源接口,则以ntp-service unicast-server命令指定的源接口为准。

·           当NTP工作在对等体模式时,如果在命令ntp-service unicast-peer中指定了NTP报文的源接口,则以ntp-service unicast-peer命令指定源接口的为准。

·           当NTP工作在广播模式时,如果在接口视图下配置了ntp-service broadcast-server 命令,则NTP广播报文的源接口为配置了ntp-service broadcast-server命令的接口。

·           如果指定的NTP源接口处于down状态,则设备不再发送NTP报文。

【举例】

# 配置NTP报文的源接口为接口Ten-GigabitEthernet1/0/1。

<Sysname> system-view

[Sysname] ntp-service source ten-gigabitethernet 1/0/1

1.1.16  ntp-service unicast-peer

ntp-service unicast-peer命令用来为设备指定被动对等体。

undo ntp-service unicast-peer命令用来删除为设备指定的被动对等体。

【命令】

ntp-service unicast-peer { peer-name | ip-address } [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *

undo ntp-service unicast-peer { peer-name | ip-address }

【缺省情况】

未指定被动对等体。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

peer-name:被动对等体的主机名,为1~253个字符的字符串,不区分大小写。

ip-address:被动对等体的IP地址。该地址只能是一个单播地址,不能为广播地址或本地时钟的IP地址。

authentication-keyid keyid:指定向对等体发送NTP报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备与对等体之间不会进行身份验证。

maxpoll maxpoll-interval:用来配置最大轮询时间间隔。maxpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最大轮询时间间隔为64秒。

minpoll minpoll-interval:用来配置最小轮询时间间隔,minpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最小轮询时间间隔为64秒。

priority:在同等条件下,优先选择ip-addresspeer-name指定的对等体为同步对等体。

source interface-type interface-number:指定NTP报文的源接口。本地设备给对端发送NTP报文时,报文的源地址为指定源接口的主IP地址。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则根据路由表查找报文的出接口,并采用出接口的主IP地址作为NTP报文的源IP地址。

version number:指定NTP版本号。number取值范围为1~4,缺省值为4。

【使用指导】

为设备指定被动对等体后,主动对等体和被动对等体的时间可以互相同步。如果双方的时钟都处于同步状态,则层数大的时钟与层数小的时钟的时间同步。

主动对等体会按周期与被动对等体进行时间同步,该过程称为轮询。本命令的maxpollminpoll参数分别用来配置NTP对等体模式系统轮询时间间隔的最大值和最小值。选定对等体之后,设备将使用最小轮询间隔进行轮询。当同步时间误差在系统可接受范围内且趋于稳定时,轮询间隔会逐渐增大直到最大值。当同步时间误差连续超出系统可接受范围多次时,轮询间隔将会减小。

修改轮询间隔不会立即生效,在下次轮询时生效。

【举例】

# 配置设备工作在主动对等体模式,被动对等体的IP地址为10.1.1.1,NTP版本号为4,NTP报文的源接口为接口Ten-GigabitEthernet1/0/1。

<Sysname> system-view

[Sysname] ntp-service unicast-peer 10.1.1.1 version 4 source ten-gigabitethernet 1/0/1

【相关命令】

·           ntp-service authentication enable

·           ntp-service authentication-keyid

·           ntp-service reliable authentication-keyid

1.1.17  ntp-service unicast-server

ntp-service unicast-server命令用来为设备指定NTP服务器。

undo ntp-service unicast-server命令用来删除为设备指定的NTP服务器。

【命令】

ntp-service unicast-server { server-name | ip-address } [ authentication-keyid keyid | maxpoll maxpoll-interval | minpoll minpoll-interval | priority | source interface-type interface-number | version number ] *

undo ntp-service unicast-server { server-name | ip-address }

【缺省情况】

未指定NTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:NTP服务器的主机名,为1~253个字符的字符串,不区分大小写。

ip-address:NTP服务器的IP地址。该地址只能是一个单播地址,不能为广播地址或本地时钟的IP地址。

authentication-keyid keyid:指定向NTP服务器发送报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备与NTP服务器之间不会进行身份验证。

maxpoll maxpoll-interval:用来配置最大轮询时间间隔。maxpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最大轮询时间间隔为64秒。

minpoll minpoll-interval:用来配置最小轮询时间间隔,minpoll-interval取值范围为4~17,最大轮询时间间隔为2的maxpoll-interval次幂,对应的最大轮询时间间隔的取值范围为24~217(即16~131072)秒。本参数的缺省值为6,即最小轮询时间间隔为64秒。

priority:指定在同等条件下,优先选择该服务器。

source interface-type interface-number:指定NTP报文的源接口。本地设备给服务器发送NTP报文时,报文的源地址为指定源接口的主IP地址。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则根据路由表查找报文的出接口,并采用出接口的主IP地址作为NTP报文的源IP地址。

version number:指定NTP版本号。number取值范围为1~4,缺省值为4。

【使用指导】

为设备指定NTP服务器后,设备可以与该服务器的时间同步,但是服务器不会与设备的时间同步。

NTP客户端会按周期向NTP服务器同步时间,该过程称为轮询。本命令的maxpollminpoll参数分别用来配置NTP客户端服务器模式系统轮询时间间隔的最大值和最小值。选定NTP服务器之后,设备将使用最小轮询间隔进行轮询。当同步时间误差在系统可接受范围内且趋于稳定之后,轮询间隔会逐渐增大直到最大值。当同步时间误差连续超出系统可接受范围多次时,轮询间隔将会减小。

修改轮询间隔不会立即生效,在下次轮询时生效。

【举例】

# 配置设备的NTP服务器为10.1.1.1,版本号为4。

<Sysname> system-view

[Sysname] ntp-service unicast-server 10.1.1.1 version 4

【相关命令】

·           ntp-service authentication enable

·           ntp-service authentication-keyid

·           ntp-service reliable authentication-keyid

 


2 SNTP

2.1  SNTP配置命令

2.1.1  display sntp sessions

display sntp sessions命令用来显示SNTP服务的所有IPv4会话信息。

【命令】

display sntp sessions

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示SNTP服务的所有IPv4会话信息。

<Sysname> display sntp sessions

SNTP server     Stratum   Version    Last receive time

1.0.1.11        2         4          Tue, May 17 2011  9:11:20.833 (Synced)

表2-1 display sntp sessions命令显示信息描述表

字段

描述

SNTP server

SNTP服务器,即NTP服务器。若该字段显示为0.0.0.0,表示NTP服务器的IP地址尚未解析成功

Stratum

时钟的层数

时钟层数决定了时钟的准确度,取值范围为1~16,层数取值越小,表示时钟的准确度越高,层数为16的时钟处于未同步状态

Version

SNTP版本号

Last receive time

上一次接收到消息的时间,Synced标识本地时钟从该服务器获得同步

 

2.1.2  sntp authentication enable

sntp authentication enable命令用来开启SNTP身份验证功能。

undo sntp authentication enable命令用来关闭SNTP身份验证功能。

【命令】

sntp authentication enable

undo sntp authentication enable

【缺省情况】

SNTP身份验证功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

在一些对安全性要求较高的网络中,运行SNTP协议时需要启用身份验证功能。通过客户端和服务器端的身份验证,保证客户端只与通过验证的服务器进行时间同步,避免客户端从非法的服务器获得错误的时间同步信息。

开启SNTP身份验证功能后,还需要设置身份验证密钥,并将其设置为可信密钥,才能正确地进行身份验证。

【举例】

# 开启SNTP身份验证功能。

<Sysname> system-view

[Sysname] sntp authentication enable

【相关命令】

·           sntp authentication-keyid

·           sntp reliable authentication-keyid

2.1.3  sntp authentication-keyid

sntp authentication-keyid命令用来设置SNTP身份验证密钥。

undo sntp authentication-keyid命令用来删除指定的SNTP身份验证密钥。

【命令】

sntp authentication-keyid keyid authentication-mode { hmac-sha-1 | hmac-sha-256 | hmac-sha-384 | hmac-sha-512 | md5 } { cipher | simple } string [ acl ipv4-acl-number ]

undo sntp authentication-keyid keyid

【缺省情况】

未设置SNTP身份验证密钥。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keyid:密钥编号,用来标识身份验证密钥,取值范围为1~4294967295。

authentication-mode:表示验证算法。

hmac-sha-1:表示采用HMAC-SHA-1算法进行身份验证。

hmac-sha-256:表示采用HMAC-SHA-256算法进行身份验证。

hmac-sha-384:表示采用HMAC-SHA-384算法进行身份验证。

hmac-sha-512:表示采用HMAC-SHA-512算法进行身份验证。

md5:表示采用MD5算法进行身份验证。

cipher:以密文形式设置密钥。

simple:以明文形式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~32个字符的字符串,密文密钥为1~73个字符的字符串。

acl ipv4-acl-number:对对端设备进行ACL过滤。通过ACL过滤的对端设备有权在本端使用该密钥ID进行身份验证。ipv4-acl-number为IPv4基本ACL的编号,取值范围为2000~2999。

【使用指导】

在一些对安全性要求较高的网络中,运行SNTP协议时需要启用身份验证功能。通过客户端和服务器端的身份验证,保证客户端只与通过验证的服务器进行同步,提高了网络安全性。

SNTP协议采用哪个密钥对对端进行身份验证由对端报文中携带的密钥ID决定。这会导致如下安全问题:对对端进行身份验证时只关心密钥是否正确而不关心对端是否有权使用该密钥ID。acl参数用于指定有权在本端使用该密钥ID进行身份验证的对端设备。需要注意的是:

当本地需要建立或已存在对端的SNTP会话时,acl参数才会进一步检查对端是否有权在本端使用该密钥ID。

当引用的ACL不存在时,任何设备都能在本端使用该密钥ID进行验证。

当引用的ACL下没有配置规则时,任何设备都不能在本端使用该密钥ID进行验证。

客户端和服务器上需要配置相同的密钥ID、验证算法及密钥值,并且保证对端有权在本端使用该密钥ID进行身份验证,否则无法实现时间同步。

配置SNTP验证密钥后,还需要通过sntp reliable authentication-keyid命令将该密钥设置为可信密钥。如果SNTP验证密钥被指定为可信密钥,删除密钥后,该密钥将自动变为不可信密钥,不必再执行undo sntp reliable authentication-keyid命令。

五种验证算法的安全性从高到低为:HMAC-SHA-512、HMAC-SHA-384、HMAC-SHA-256、HMAC-SHA-1、MD5。

通过重复执行本命令,可以配置多个SNTP身份验证密钥。设备上最多可以配置128个SNTP身份验证密钥。

【举例】

# 设置MD5身份验证密钥,密钥ID号为10,密钥为BetterKey,以明文形式输入。

<Sysname> system-view

[Sysname] sntp authentication enable

[Sysname] sntp authentication-keyid 10 authentication-mode md5 simple BetterKey

【相关命令】

·           sntp authentication enable

·           sntp reliable authentication-keyid

2.1.4  sntp enable

sntp enable命令用来开启SNTP服务。

undo sntp enable命令用来关闭SNTP服务。

【命令】

sntp enable

undo sntp enable

【缺省情况】

SNTP服务处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 开启SNTP服务。

<Sysname> system-view

[Sysname] sntp enable

2.1.5  sntp reliable authentication-keyid

sntp reliable authentication-keyid命令用来配置可信秘钥。

undo sntp reliable authentication-keyid命令用来取消可信密钥。

【命令】

sntp reliable authentication-keyid keyid

undo sntp reliable authentication-keyid keyid

【缺省情况】

未指定可信密钥。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

keyid:密钥编号,取值范围为1~4294967295。

【使用指导】

开启身份验证功能后,客户端只会同步到提供可信密钥的服务器;如果服务器提供的密钥不是可信的,那么客户端不会与其同步。

本命令的使用前提是认证开关已经打开并且配置了密钥,即保证该密钥的存在性后才能设定它是否可信。如果SNTP验证密钥被指定为可信密钥,删除密钥后,该密钥将自动变为不可信密钥,不必再执行undo sntp reliable authentication-keyid命令。

【举例】

# 开启SNTP身份验证功能,配置编号为37的密钥采用MD5算法进行身份验证,密钥值为BetterKey。

<Sysname> system-view

[Sysname] sntp authentication enable

[Sysname] sntp authentication-keyid 37 authentication-mode md5 simple BetterKey

# 指定该密钥为可信密钥。

[Sysname] sntp reliable authentication-keyid 37

【相关命令】

·           sntp authentication-keyid

·           sntp authentication enable

2.1.6  sntp unicast-server

sntp unicast-server命令用来为设备指定NTP服务器。

undo sntp unicast-server命令用来删除为设备指定的NTP服务器。

【命令】

sntp unicast-server { server-name | ip-address } [ authentication-keyid keyid | source interface-type interface-number | version number ] *

undo sntp unicast-server { server-name | ip-address }

【缺省情况】

未指定NTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name:NTP服务器的主机名,为1~253个字符的字符串,不区分大小写。

ip-address:NTP服务器的IP地址。该地址只能是一个单播地址,不能为广播地址或本地时钟的IP地址。

authentication-keyid keyid:指定向NTP服务器发送报文时,使用指定的密钥计算报文的摘要。keyid取值范围为1~4294967295。如果未指定本参数,则本端设备与NTP服务器之间不会进行身份验证。

source interface-type interface-number:指定NTP报文的源接口。本地设备给服务器发送NTP报文时,报文的源地址为指定源接口的主IP地址。interface-type interface-number为接口类型和接口编号。如果未指定本参数,则根据路由表查找报文的出接口,并采用出接口的主IP地址作为NTP报文的源IP地址。

version number:指定NTP版本号。number取值范围为1~4,缺省值为4。

【使用指导】

为设备指定NTP服务器后,设备可以与该服务器进行时间同步。设备的时间获得同步后,不能作为服务器为其他设备提供时间同步。

【举例】

# 配置设备的NTP服务器为10.1.1.1,版本号为4。

<Sysname> system-view

[Sysname] sntp unicast-server 10.1.1.1 version 4

【相关命令】

·           sntp authentication enable

·           sntp authentication-keyid

·           sntp reliable authentication-keyid

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们